ベネッセ情報漏えい

ベネッセ顧客名簿漏えい事件から考える情報セキュリティの具体策--後編

岡田靖

2014-09-01 07:30

 前編では、主にデータベースへのアクセスを制御するという観点から、セキュリティ確保の方法を論じた。後編は、データを持ち出させないための仕組みや、組織作りに焦点を当てる。

外部媒体使用禁止は「マスストレージ」以外にも注意

 データを「持ち出させない」対策としては、USBメモリなどの外部記憶媒体を端末で利用できないように禁止するツールのほか、管理区域を設定して記憶媒体の持ち込み、持ち出しを物理的に禁止するといった対策がある。また、今回の事件には該当しないが、ネットワークを介した外部へのコピーに対する備えも求められる。

 この外部記憶媒体の禁止措置は、ベネッセのシステム運用現場においても実施されていたとのことだが、想定したように機能していなかったため漏えいにつながってしまったと考えられる。報道によれば、今回の事件ではスマートフォンを「MTP(Media Transfer Protocol)モード」で接続してデータをコピーしていたという。

 このMTPモードでは、Windowsのエクスプローラなどであれば通常の外部記憶媒体に近い感覚でファイルの読み書きが可能だが、内部的な処理はUSBマスストレージ接続と全く異なっている。そのため、マスストレージを禁止するだけの措置ではMTP接続を禁止できない場合も多い。今回の事件では、まさにこの点が悪用されてしまったようだ。

MTPモードとは


 なお、MTPモードは、もともと音楽/動画プレーヤー向けに開発されたUSB接続ファイル転送プロトコルだ。こうしたデバイスでは、USBメモリやUSB接続HDDなどのように「USBマスストレージ」で接続してしまうと、PCとデバイスの両方が同時にファイルを更新することが原理的に可能となり、場合によってはデータが破損する危険がある。その防止のため端末側のアプリを停止するなどの対策が多くのデバイスで行われているが、PC接続時に多くの機能が使えなくなることにもなる。

 これに対しMTPでは、PCからの読み書きはデバイス上のOSを経由して行うようになっており、ファイル破損などの心配がなくなる。Androidでは3.1以降でMTPをサポートしており、最近の端末ではデフォルトでMTPモードとなっていることも多い。ユーザーの利便性のために開発され広まったプロトコルだが、結果としてUSBマスストレージのみの禁止措置に対するセキュリティホールのようになってしまっている、と考えることができよう。

 より踏み込んだセキュリティとしては、作業エリアにUSBメモリやスマートフォンなどの外部記憶媒体を持ち込ませないようにしたり、KVMやシンクライアントソリューションを組み合わせることによりUSB接続禁止措置の確実性を高めるなど、物理的な対策も考えられる。持ち込み防止は入退室ソリューションなども絡む大掛かりな対策となるが、本番環境のサーバが設置されるサーバ室、データセンターなどにおいては、外部記憶媒体と本番サーバの物理的な接触を防ぐ最後の防壁もいえよう。一方、KVMやシンクライアントでの対策は、DB管理など主に端末からの操作において有効な手段だ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]